曾有工程师对某品牌在华合资生产的 SUV 的控制软件的代码进行分析后发现，这款 App 可以随时与车辆连通获取油门、刹车踏板开合度等数据，并将这些数据实时传送至海外服务器。这意味着，车主通过 App 对车辆执行的每一个动作都将以数据形式存储到海外服务器上。

随着数字经济的快速发展，全球信息进入全面渗透、跨界融合、加速创新、引领发展的大数据时代，数据呈现爆发式增长，全球进入数据爆炸时代。而数据安全，也日渐成为数字风险治理中最重要、最复杂、最具挑战性的工作。  

在此背景下，2021 年 6 月 10 日，十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》（以下简称《数据安全法》），并将于2021年9月1日起正式施行。 历时近 3 年的《数据安全法》正式出台，标志着我国终于拥有了一部针对“数据安全”的基础性法律 和国家安全领域内的重要法律 。  

在此之前，尽管国内已有《中华人民共和国网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿）》、《个人信息出境安全评估办法》、《信息安全技术个人信息安全规范》、《个人信息和重要数据出境安全评估办法（征求意见稿》、《车联网（智能网联汽车）产业发展行动计划》、《个人信息保护法》等相关法律法规，但都没有针对“数据”这一主体进行规范。  

《 数据安全法》 作为一部统筹数字经济时代“安全与发展”并重的法律，其 出台 标志着数据野蛮掘金时代的结束，也将为下一阶段数字经济的发展提供更多保证。《数据安全法》是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益制定的法律。  

近年来，随着智能网联汽车的加速发展，智能汽车数据安全问题已成为行业关注的重点。《数据安全法》的出台积极回应了时下国内外数据竞争和保护的关键问题，给企业数据经营合规以及进一步的数据资产化治理与发展提供指引。

2021 年 6 月 11 日上午，即《数据安全法》出台后的第二天，特斯拉在微博表态称，“数据隐私安全，关乎着每一个消费者。特斯拉将严格遵守数据安全法，保护消费者数据相关权益。努力促进行业和数字经济健康蓬勃发展。”

智能汽车的数据安全

智能汽车上集成的摄像头、激光雷达、毫米波雷达、测速仪、导航仪等各类传感器和各类 APP，时刻都在收集车辆的环境信息、车辆行驶信息和个人信息。因此，过去智能移动终端存在的安全问题也将“转移”到智能汽车上，数据安全、个人信息、人身安全以及公共安全问题也将成为智能汽车商用的“拦路虎”。

其中，数据安全问题将是法律关注的重点，因为智能汽车中的各类数据采集泄露风险巨大，应当把网络安全系统像“安全带”一样列为智能汽车的标配，推进智能汽车网络安全的强制测试，强化智能网联汽车产生的数据安全监管。同时，还应规范化汽车行业软件供应链，加快落实自动驾驶汽车相关的数据采集、存储、处理、应用法律法规和标准。

智能汽车上大量的软件还牵涉国内外供应链厂商，之后需要通过空中下载（OTA）技术进行软件版本更新。如不能吸取过往教训，过度宽容，“先发展，再治理”，不规范软件供应链安全管理，没有有效落实软件安全检测，尽可能减少软件漏洞和木马，将对智能汽车功能安全、数据安全都存在巨大风险，可能严重威胁社会安全，甚至是国家安全。

1、数据类别

车辆数据包括哪些信息与类别？

车辆会涉及多种类型的数据，比如：

（1）车主本人、驾驶人、乘车人等个人信息：如姓名、年龄、职业、手机号、账号、密码、邮箱、微信用户名等；

（2）车辆数据：如车牌号、车架号、发动机号、设备编号等；

（3）行驶数据：如定位导航信息、行踪轨迹、车辆操控数据、车辆工况数据、车辆日志数据、车辆行驶数据、车辆环境数据；其中最易涉及重要数据主要包括：军事管理区等重要敏感区域人流、车流数据，高于国家公开发布地图精度的测绘数据，汽车充电网的运行数据，道路上车辆类型和流量数据，包含人脸、声音、车牌等在内的车外音视频数据。

（4）其他数据：如 App 端收集的各类权限与 App 使用数据、车载软件的数据（如歌单等喜好习惯信息，公司和家的地理位置信息）。

车辆数据的多样性让其合法合规性成为一项难题，不同类型的数据对应不同的法律义务，需要设置不同的合规措施。不同类别数据的收集与处理一方面为我们的驾驶提供了更多的便利与安全性，但同时也给隐私与个人信息带来了挑战。

2、数据安全及数据出国安全

高等级智能驾驶汽车具有强大的数据采集能力，如一辆智能驾驶测试车每天就可以产生高达 10TB 的海量数据，而车辆传感器采集道路等非驾驶行为的地理信息活动属于测绘行为，原则上只能由持证机构进行，更关键的是，在 2021 年之前，这些涉嫌敏感的地理信息数据，有的并没有被存储在国内，瞬间就能出国门，尤其是特斯拉等跨国车企。

如特斯拉的车载系统在工作过程中，包括街道路况、导航距离以及环境景象等所有能被地图测绘所扫描到的数据，都能够被特斯拉收集到，其收集的数据大多存储在国外服务器上，而数据中有些已经涉及地理信息，一旦泄露，影响的可能是社会或国家安全。特斯拉在中国的数据收集、上传等安全问题引发关注。

据统计，特斯拉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等 200 多项信息，国内同类厂商也采集有 170 多项。如此大量的信息，如果是关键人群的个人信息、个人行为信息，车路协同获取的实时环境信息、敏感地理位置等信息，汇集到独立的商业化公司手里，一旦被滥用或恶意使用，必将对社会安全乃至国家安全带来巨大风险。

2021 年 3 月，特斯拉公司 CEO 埃隆 · 马斯克首度针对车辆数据安全作出回应称，特斯拉公司不会向美国政府提供其车辆在中国或其他国家收集的数据，中国客户的数据会在特斯拉公司得到充分的保护，并称特斯拉有非常强烈的动机对任何信息保密。

不过，这并不能消除国内用户的疑虑，随着自动驾驶、电动新能源汽车的逐步普及，越来越多的数据被搜集和存储，在很多专家看来，需要加快立法，对自动驾驶数据安全尽快予以规范。

2021 年 5 月 25 日，特斯拉官方微博称，特斯拉已经在中国建立数据中心，以实现数据存储本地化，并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。

特斯拉同时 宣布，正开发车主数据平台 ，未来将向车主开放车辆信息查询平台， 以供车主查询获取车机交互的数据， 该项工作正在紧锣密鼓地进行中。据了解， 目前北美地区的特斯拉车主已经可以申请下载自己的行车数据。

根据我国规范，用户本就有权查阅自己的行车数据，特斯拉在建立数据平台的同时，应对限制非数据主体查阅、对抗黑客攻击篡改等数据安全问题也加以妥善解决。

目前还没有出台适用于智能网联汽车数据平台建设的标准，各家智能网联汽车都是各自建设数据平台，数据平台需要根据不同性质达到不同等级的等保标准，对于涉密性较强的数据平台而言，等保三级是基础要求，已有智能网联汽车数据平台在参照等保三级标准。

因此，为智能网联汽车的数据加把“锁”已刻不容缓，需加快落实相关数据采集、存储、处理、应用法律法规和标准，加强数据采集类型和范围约束，尤其是针对采集大量个人和环境信息的智能汽车，应要求其遵守国家法律、标准，采集的车主数据、环境数据和路网数据遵循合规和使用原则，不可过度采集。

针对一些必须要出境的数据，国家应对这些数据的量设定一个限制额度，而且对于关键的核心数据必须要保留在中国，其他数据可能需要在审核之后方可出境。

3、数据安全及个人信息安全

曾有工程师对某品牌在华合资生产的 SUV 的控制软件的代码进行分析后发现，这款 App 可以随时与车辆连通获取油门、刹车踏板开合度等数据，并将这些数据实时传送至海外服务器。这意味着，车主通过 App 对车辆执行的每一个动作都将以数据形式存储到海外服务器上。

国内合资品牌车企本土化都聚焦在制造本土化，对于车辆开发过程中的数据分析本土化做得并不好，传感器所收集到的数据，大多数都是传送到海外研发部门分析。

《网络安全法》第三十七条规定，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”

其实，在此之前，已经有一系列关于数据安全、数据出境的法规（征求意见稿）出来了——

2017 年 4 月 11 日，国家互联网信息办公室起草发布的《个人信息和重要数据出境安全评估办法》（征求意见稿）第二条，网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。

第九条，“网络运营者应报请行业主管或监管部门组织安全评估的出境数据有：含有或累计含有 50 万人以上的个人信息；数据量超过 1000GB；包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等。”

2019 年 6 月 13 日，国家互联网信息办公室起草发布的《个人信息出境安全评估办法》（征求意见稿）第二条，“网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息，应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益，或者难以有效保障个人信息安全的，不得出境。”

如果说个人信息、车辆数据被收集，已是别无选择，对于车主来说，更为担心的是，信息被收集之后，智能网联汽车有没有“看牢”自己的数据？

近日，大众汽车方面表示，约有 330 万大众、奥迪汽车的车主和潜在客户的个人信息遭到泄露，具体信息包括：姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。车企信息泄露事件时有发生。曾有网络安全专家表示，汽车企业应对数据的存储、使用和传输进行更全面管理和控制。

2021 年 6 月 11 日，一家供应商通知奔驰发生数据泄露事件。奔驰随即展开调查并发布初步结果，称在评估了 160 万份数据后，发现共计不到 1000 人的个人信息处于公开可访问状态，受影响的是 2014 年至 2017 年期间，在奔驰公司和经销商网站输入敏感信息的客户和潜在购车者。这些信息包括个人申报的信用得分，小部分人的驾驶证号码、社会保险号码、信用卡信息和出生日期。

奔驰表示，目前没有证据表明这些信息被恶意滥用；且公司正在与受影响的个人取得联系，“任何被泄露信用卡信息、驾驶证号码或社会保险号码的个人都将获得24个月的免费信用监控服务。”奔驰还表示，其将通知有关政府机构，并确保供应商不再发生类似事件，继续调查以使情况得到妥善处理。

2021 年 7 月 4 日晚，国家互联网信息办公室通报下架了“滴滴出行”App，理由是违反《网络安全法》，存在严重违法违规收集使用个人信息问题。要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

因此，要建立健全准入制度，针对智能网联汽车数据的采集、存储和商业用途需经国家相关部门备案管理，加强数据隐私保护并制定相应的审查制度，并且，智能网联汽车企业对于可能存在的隐私风险具有告知义务，在收集、使用、转移、删除数据时需给予用户自由选择权。

4、数据归属

目前来看，监管部门、执法部门以及企业都享有对车辆数据合法使用的权利，消费者也依法享有对自己车辆行驶数据的知情权，那这些数据应该“归谁所有”却仍是问题。

为什么车辆数据的归属是个复杂的问题？

汽车不仅是一系列复杂系统的集成，也是不同传感器的集成。只要汽车驶过，对周围环境、路况都可以进行数据收集，路上的每一辆车都会成为一个“数据黑洞”将周围环境的数据吸收进来。这样的直接后果是：车主买车可以获得车辆的所有权，但仅靠车辆的所有权并不能够让汽车上路行驶，车主还需要获得各种软件、应用的辅助，进而需要获得使用授权。

传统上，买车是一锤子买卖，但现在买车逐渐转变为一种长期的服务合同关系。从法律关系的角度，一辆汽车可以涉及车主、4S 店、车厂、云服务商、电信运营商、乘客、行人等多方主体，不同主体之间通过不同的法律关系与数据流彼此连接。就连车辆本身的远程升级维护（OTA），都与传统的召回及 4S 店维护有着巨大的区别。

那么，数据应该归谁所有呢？

特斯拉车顶维权女车主的丈夫李先生认为，行车数据属于个人财产及个人隐私，而特斯拉未经车主允许，擅自将其公布给媒体及大众，他无法接受，这侵犯到了个人隐私权及消费者权益。

西南财经大学金融学院数字经济研究中心主任陈文认为，个人数据信息的所有权归属个人，但实际操作中界定权属存在难度：

一是个人数据信息存在存储成本，企业或者运营方往往出于商业价值的考虑，会存储有价值的数据，而这些数据又构成了企业的“核心资产”的有机组成部分；

二是个人数据具有社会网络的属性，尤其是在互联网时代更为突出，个人的数据跟其他人的数据往往交融在一起，如果将数据完全划归某个人，可能存在侵犯他人数据隐私权之嫌。

通过事先法定的方式确定权利边界和内容，在世界范围内都是一个难题，并未形成共识。因为，数据往往是多元主体和多元利益的结合。

如对消费者而言，数据中还有司机驾乘方面的个人信息；对车企而言，则可能包含其为了维护汽车运行安全、提升自动驾驶效能而搜集的大量数据；对政府而言，汽车在行驶过程中还收集的路面及周边地图、道路等信息。

也正是因为这种特性，只是简单地说数据归属于谁，并没有办法解决多元利益冲突。即使确定权属，也不能解决权利的内容问题，更不能区分出权利冲突时何方更应当受到保护。

学者们普遍认为，个人信息所有权理所当然归属个人。但问题在于数据问题涉及到多元主体的多元利益。即使确定了各自权属，“谁的权利优先级更高”这种关键问题也没有得到回答。也许，问题的关键并不在于数据的归属，而在如何行使权利。

数据安全相关法律法规

在全球性立法冲动的背后下，大家都逐渐意识到：谁如果在立法上落后一步，谁就将在数字时代处于被动态势。自动驾驶数据的安全防护与监管被提升到前所未有的重要高度。

从国内的《中华人民共和国网络安全法》、《个人信息和重要数据出境安全评估办法（征求意见稿》、《个人信息出境安全评估办法》、《信息安全技术个人信息安全规范》、《个人信息和重要数据出境安全评估办法（征求意见稿》、《车联网（智能网联汽车）产业发展行动计划》、《个人信息保护法》、《数据安全法》，到美国《自动驾驶法案》、欧盟《智能汽车网络安全与适应力》、德国《道路交通法》等诸多国内外的法规政策都从不同角度对数据安全提出了要求，这意味着自动驾驶产业发展过程中所产生、涉足的各类数据也需要合乎相关的法律规定。

目前，这些相关法律法规全面构筑信息及数据安全领域的法律框架。

1、国内数据安全相关法律法规

2、国外数据安全相关法律法规